Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Guía de migración a la versión 4.0 de Landing Zone
<a name="landing-zone-v4-migration-guide"></a>

 AWS Control Tower Landing Zone 4.0 introduce una importante revisión de la arquitectura de las zonas de aterrizaje, que ofrece una experiencia de control dedicada y flexible e integraciones de servicios totalmente opcionales. Las mejoras clave incluyen la capacidad de habilitar AWS Config AWS CloudTrail e AWS Backup integraciones de forma selectiva, con recursos dedicados y AWS Config AWS CloudTrail para mejorar el aislamiento. SecurityRoles 

 La versión elimina los requisitos de estructura organizativa obligatorios, lo que permite a los clientes definir los suyos propios, al tiempo que introduce un nuevo soporte `ConfigBaseline` para los controles de detección sin necesidad de tener que ser exhaustivos. `AWSControlTowerBaseline` Un Config Aggregator vinculado a un servicio reemplaza los métodos de agregación anteriores, lo que agiliza la recopilación de datos de conformidad. 

 Además, el campo de manifiesto pasa a ser opcional, lo que permite despliegues minimalistas en las zonas de landing zone centrados únicamente en la AWS Organizations integración y la habilitación del control. Estos cambios ofrecen más opciones de personalización y, al mismo tiempo, mantienen sólidas capacidades de gobierno, lo que permite a los clientes adaptar AWS Control Tower a sus necesidades específicas de manera más eficaz. 

**Topics**
+ [Cambios clave](key-changes-lz-v4.md)
+ [Actualizaciones de AWS Config](config-updates-v4.md)

# Cambios clave
<a name="key-changes-lz-v4"></a>

**nota**  
 La definición de «registrado» e «inscrito» ha cambiado con esta nueva versión de AWS Control Tower. Cuando account/OU tenga habilitado algún recurso de la Torre de Control de AWS (por ejemplo, control o línea base), se considerará un recurso gobernado. La definición ya no dependerá de la presencia de la `AWSControlTowerBaseline` línea base. 
 Los roles vinculados al servicio se conservan en todas las versiones de landing zone y ya no se eliminan cuando OUs se «anula el registro» 
 Los clientes solo pueden eliminar manualmente los roles vinculados a servicios después del desmantelamiento de la zona de landing zone 
+  **Requisito previo para Landing Zone 4.0:** al actualizar a la versión 4.0 mediante la API, asegúrese de que el rol de `AWSControlTowerCloudTrailRole` servicio utilice la nueva política gestionada `AWSControlTowerCloudTrailRolePolicy` en lugar de la política en línea existente. [Separe la política en línea actual y adjunte la nueva política gestionada tal y como se describe en la documentación.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy) 
+  **Manifiesto opcional:** el campo de manifiesto de la API de landing zone ahora es opcional. Los clientes pueden crear zonas de aterrizaje sin ninguna integración de servicios. Esto no afecta a los clientes actuales que ya utilizan el campo de manifiesto. 
+  **Estructura organizativa opcional:** AWS Control Tower ya no aplica ni administra la creación de unidades organizativas de seguridad para que los clientes puedan definir y administrar su propia estructura organizativa. Sin embargo, AWS Control Tower requerirá que todas las cuentas configuradas para cada integración de servicios de AWS estén en la misma OU principal. Esto no afectará a los clientes que ya hayan configurado la Torre de Control de AWS y dispongan de la unidad organizativa de seguridad. AWS Control Tower implementa automáticamente los recursos y controles necesarios para administrar las cuentas de integración de servicios en la OU de seguridad. Por ejemplo, cuando la integración de AWS Config está habilitada, la grabación de AWS Config está habilitada en todas las cuentas de integración de servicios. AWS Control Tower Baseline y AWS Config Baseline no se aplican a la unidad organizativa de seguridad ni a las cuentas de integración. Para cambiar las integraciones de servicios, actualiza la configuración de landing zone. 
**nota**  
 La configuración de la estructura organizativa de la zona de aterrizaje 4.0 de AWS Control Tower ha cambiado con respecto a las versiones anteriores de landing zone. AWS Control Tower ya no creará la unidad organizativa de seguridad designada. La OU con las cuentas de integración de servicios será la OU de seguridad designada. 
 Si las cuentas de los miembros se trasladan a la OU donde residen las cuentas de cada integración, los controles habilitados en esa OU se desplazan independientemente de si la inscripción automática está activada o desactivada. 
+  **Notificaciones de derrapes:** AWS Control Tower dejará de enviar notificaciones de derrapes a SNS topic a todos los clientes de landing zone 4.0 que no `AWSControlTowerBaseline` estén habilitadas y, EventBridge en su lugar, empezará a enviar notificaciones de derrapes a la cuenta de administración. Para ver ejemplos de eventos y obtener orientación sobre cómo recibir notificaciones de derrape a través de EventBridge ellos, consulte [esta guía](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html). 
+  **Integraciones de servicios opcionales:** ahora puede utilizar enable/disable todas las integraciones de AWS Control Tower CloudTrail SecurityRoles, incluidas AWS Config AWS y. AWS Backup Estas integraciones ahora también tienen marcas opcionales obligatorias en la `enabled` API. Las líneas base que pueden aplicarse a tu landing zone o a tus cuentas compartidas ahora dependen unas de otras. Las dependencias específicas de las integraciones son: 
  + Habilitación:
    +  `CentralSecurityRolesBaseline`→ debe `CentralConfigBaseline` estar activado 
    +  `IdentityCenterBaseline`→ debe `CentralSecurityRolesBaseline` estar activado 
    +  `BackupCentralVaultBaseline`→ debe `CentralSecurityRolesBaseline` estar activado 
    +  `BackupAdminBaseline`→ debe `CentralSecurityRolesBaseline` estar activado 
    +  `LogArchiveBaseline`→ independiente (sin dependencias) 
    +  `CentralConfigBaseline`→ independiente (sin dependencias) 
  + Inhabilitación: 
    +  `CentralConfigBaseline`solo se puede deshabilitar si `CentralSecurityRolesBaseline``IdentityCenterBaseline`, `BackupAdminBaseline` y las `BackupCentralVaultBaseline` líneas base se deshabilitan primero. 
    +  `CentralSecurityRolesBaseline`solo se puede deshabilitar si`IdentityCenterBaseline`, `BackupAdminBaseline` y las `BackupCentralVaultBaseline` líneas base se deshabilitan primero. 
    +  `IdentityCenterBaseline`se puede desactivar de forma independiente. 
    +  `BackupAdminBaseline`y las `BackupCentralVaultBaseline` líneas de base se pueden desactivar de forma independiente 
    +  `LogArchiveBaseline`se puede desactivar de forma independiente 

# Actualizaciones de AWS Config
<a name="config-updates-v4"></a>
+  **Recursos dedicados para AWS CloudTrail: AWS Config AWS Config y AWS** CloudTrail ahora usa temas de SNS y buckets de S3 dedicados por separado en lugar de recursos compartidos. Los clientes tienen una flexibilidad limitada a la hora de utilizar una cuenta única o independiente para múltiples integraciones. 
  +  Al actualizar a la versión 4.0 de la zona de aterrizaje de AWS Control Tower, los datos existentes y los depósitos de S3 no se mueven. CloudTrail La integración de AWS sigue utilizando el depósito de S3 existente con prefijo`aws-controltower-logs`. Los nuevos datos de AWS Config posteriores a la operación de actualización se almacenarán en un nuevo bucket de S3 con el prefijo `aws-controltower-config` que AWS Control Tower cree en la cuenta designada para el CentralConfigBaseline. 
**nota**  
 Al habilitar CloudTrail la integración de AWS en landing zone 4.0 por primera vez, se crearán nuevos buckets de S3 cada vez con prefijo `aws-controltower-cloudtrail` 
  +  Cambios en la ubicación de los datos: los clientes actuales que pasen de recursos previamente compartidos a recursos dedicados AWS Config dispondrán de CloudTrail datos de AWS en diferentes grupos de S3. Es posible que los flujos de trabajo y las herramientas de los clientes establecidos necesiten actualizaciones para acceder a los datos desde las nuevas ubicaciones de los segmentos. 
  +  AWS CloudTrail seguirá alojándose en el mismo depósito existente, pero AWS Config los datos estarán en un nuevo depósito de S3 creado por la Torre de Control de AWS. 
  +  Los clientes pueden configurar la replicación entre cubos si desean centralizar diferentes registros en un solo depósito. Consulte la [documentación de S3 para obtener](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) más información. 
  +  Si ha inscrito cuentas con canales de entrega de AWS Config preexistentes que no fueron creados por AWS Control Tower en regiones gobernadas por la Torre de Control de AWS, actualice el nombre del bucket S3 de los canales de entrega por el nuevo bucket de S3 con prefijo en la cuenta de integración de `aws-controltower-config-logs-` AWS Config para que sea coherente con las configuraciones de AWS Control Tower en la zona de aterrizaje 4.0. Consulte más detalles en [Inscribir cuentas que cuenten con AWS Config recursos existentes](existing-config-resources.md). 
+  **AWS Config integración en la versión 4.0 de landing zone:** al migrar a landing zone 4.0 con la AWS Config integración habilitada, los clientes verían los siguientes cambios - 

  1.  La cuenta de auditoría existente está registrada como administrador delegado para. AWS Config

  1.  El agregador Config Linked Service-Linked se implementa en la cuenta de auditoría (cuenta agregadora AWS Config central para clientes nuevos y cuenta de auditoría para clientes existentes). El nuevo agregador puede agregar datos de cualquier AWS Config grabador de la organización, incluidas las cuentas no administradas por Control Tower. 

  1.  Se eliminarán los agregadores existentes: se eliminarán el agregador de organizaciones en la cuenta de administración (`aws-controltower-ConfigAggregatorForOrganizations`) y el agregador de cuentas en la cuenta de auditoría (`aws-controltower-GuardRailsComplianceAggregator`). 

  1.  Como el agregador de configuraciones está vinculado a un servicio, los controles asociados a los agregadores eliminados se eliminarán automáticamente. 

     1. [No permitir cambios en las etiquetas creadas por la Torre de Control de AWS para los recursos de AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)

     1. [No permitir la eliminación de las autorizaciones de agregación de AWS Config creadas por AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+  **Nueva `ConfigBaseline` base de referencia:** ahora existe un soporte independiente `ConfigBaseline` a nivel de unidad organizativa para los controles de detección sin necesidad de un soporte integral. `AWSControlTowerBaseline` Consulte la lista de [tipos de referencia a nivel de unidad organizativa](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) para obtener más información. Para los clientes actuales que utilizan la landing zone predeterminada, todas las integraciones de servicios ahora son opcionales, con la salvedad de los requisitos de dependencia que se describen en. [Cambios clave](key-changes-lz-v4.md) 
+  **Config Aggregator vinculado a servicios: reemplaza a los agregadores** de organizaciones y cuentas en la cuenta del AWS Config agregador central. 
  +  Al actualizar a landing zone 4.0 con AWS Config la integración habilitada, los clientes deben tener `organizations:ListDelegatedAdministrators` permisos 

    ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
          {
             "Effect": "Allow",
             "Action": [
               "backup:UpdateGlobalSettings",
               "controltower:CreateLandingZone",
               "controltower:UpdateLandingZone",
               "controltower:ResetLandingZone",
               "controltower:DeleteLandingZone",
               "controltower:GetLandingZoneOperation",
               "controltower:GetLandingZone",
               "controltower:ListLandingZones",
               "controltower:ListLandingZoneOperations",
               "controltower:ListTagsForResource",
               "controltower:TagResource",
               "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
             ],
             "Resource": "*"
          }
       ]
    }
    ```